スマートフォン モバイルサイトの セキュリティ 課 題 と 対 処 方 法 ~SSLを 中 心 に~ 日 本 ジオトラスト 株 式 会 社 上 杉 謙 二 2011 年 7 月 29 日
Agenda 1. はじめに 2. スマートフォンに 関 わるセキュリティリスク 3. 最 近 の 事 件 の 解 説 マルウェアの 進 化 Androidアプリの 脆 弱 性 (Androidユーザの99%が 被 害 ) 脆 弱 なパスワード 4. すぐできる 対 策 中 長 期 的 に 検 討 すべき 対 策 5. SSLの 陥 りやすい 課 題 6. スマートフォンのSSLには ジオトラストがお 勧 め 2
1.はじめに 2011 年 は スマートフォン が 花 開 いた 年 フィーチャーフォン 以 上 に 便 利 使 いやすい 楽 しい 反 面 パソコン 並 みにセキュリティ 脅 威 は 存 在 している ( 特 に 無 線 LAN 機 能 を 常 時 ONにするのは 危 険 ) 運 営 者 側 も 対 策 を 怠 ると 信 頼 を 失 う 結 果 に 対 策 を 打 ったのに 逆 効 果 になるケースもある 3
1. はじめに + このエラーメッセージの 原 因 は 何 でしょうか? 答 えは 本 セッション 最 後 で 4
2.スマートフォンに 関 わるセキュリティリスク + Symantec Report より (A Window Into Mobile Device Security) iosやandroidは 1つ 以 上 の クラウドサービスに 常 に 接 続 して 利 用 している E-mail / カレンダー / 電 話 帳 / 音 楽 動 画 の 同 期 データバ ックアップの 用 途 としてクラウ ドを 利 用 している スマートフォンはネット 常 時 接 続 によるリスクが 顕 在 化 5 出 典 :Symantec Report 2011/06 A Window Into Mobile Device Security
2.スマートフォンに 関 わるセキュリティリスク + Apple ios vs. Google Android Webやネットワーク 経 由 の 攻 撃 マルウェア 経 由 の 攻 撃 ソーシャルエンジニアリング( 実 世 界 での なりすまし パスワード 不 正 取 得 ) リソース 乱 用 不 正 使 用 サービス 攻 撃 データの 損 失 データ 改 ざん Androidのほうがリスクが 高 い 6 出 典 :Symantec Report 2011/06 A Window Into Mobile Device Security
2.スマートフォンに 関 わるセキュリティリスク フィーチャーフォンは 閉 じられ た 世 界 だったため セキュリティ リスクは 少 なかった 7 出 典 :キーマンズネット 2011/06/30 モバイルマルウェア 動 向 様 々な 脅 威 が 存 在
2.スマートフォンに 関 わるセキュリティリスク CP CP CP CP CP CP CP CP コンテンツプロバイダ(Web サイト 運 営 者 アプリ 提 供 者 など)が 対 策 可 能 な 項 目 CP CP CP CP CP CP CP CP 8 出 典 :キーマンズネット 2011/06/30 モバイルマルウェア 動 向
2.スマートフォンに 関 わるセキュリティリスク スマートフォン 利 用 時 の 不 安 要 素 として データ 盗 難 漏 洩 (48.7%) 第 三 者 による 不 正 利 用 (39.7%) ウィルス 感 染 による 不 正 利 用 (39.5%) スマートフォン 利 用 者 はインターネットを 利 用 する 際 に 不 安 を 感 じている 9 出 典 :IPA 2010 年 度 情 報 セキュリティの 脅 威 に 対 する 意 識 調 査 報 告 書
3. 最 近 の 事 件 の 解 説 Topics スマートフォンを 狙 ったマルウェアの 進 化 Androidアプリの 脆 弱 性 (Androidユーザの99%が 被 害 ) 脆 弱 なパスワード 10
3. 最 近 の 事 件 の 解 説 スマートフォンを 狙 ったマルウェアの 進 化 + マルウェア とは? Norton.comより Malicious + Software = Malware ( 造 語 ) 悪 意 のある 11
3. 最 近 の 事 件 の 解 説 スマートフォンを 狙 ったマルウェアの 進 化 + スマートフォンを 狙 ったマル ウェアが 登 場 Android Marketは 審 査 が 緩 いので Market 自 体 に 多 数 のマルウェア 入 りアプリが 存 在 する IPAの 調 査 では 10ヶ 月 以 上 も マルウェア 対 策 をしてい ないスマートフォンが 存 在 す ると 報 告 ( 簡 単 にバージョン アップできない 事 情 ) 12 出 典 :IPA 2011 年 注 意 喚 起 より
3. 最 近 の 事 件 の 解 説 スマートフォンを 狙 ったマルウェアの 進 化 + ドライブ バイ ダウンロード (Drive By Download) PCの 世 界 では Webサイトを 訪 れただけで 感 染 するマルウェアが 存 在 する ( 例 : ガンブラーを 利 用 した 攻 撃 ) 現 在 は 顕 在 化 していないが JavaScriptを 扱 えるスマートフォンでも 同 じような 事 件 がいつ 起 こっても 不 思 議 ではない ハッカー 悪 意 のあるJavaScriptやiframeインジェクション 実 行 Webアプリケーション データベース サイト 閲 覧 者 Webサイトへアクセス / アプリ 経 由 でWebアクセス 別 サイトへリダイレクト ドライブバイダウンロード マルウェアを 仕 込 んだサイト 13
3. 最 近 の 事 件 の 解 説 Androidアプリの 脆 弱 性 + 事 象 Googleカレンダーや Google Contacts Picasaで 認 証 情 報 を 入 力 した 後 APIが 認 証 用 のデジタルトー クンを 振 り 出 すが このデジタルトーク ンが 暗 号 化 されていなかった デジタルトークンは 最 大 14 日 間 使 用 可 能 なため ハッカーが 収 集 して 不 正 アクセスに 利 用 される 恐 れがある Android2.2 以 前 のOSが 影 響 を 受 ける ことになる ( 実 に ユーザ 数 の99% 以 上 に 危 険 性 にさらされた) 特 に 無 線 LAN 環 境 でデジタルトーク ンを 収 集 されやすい 次 ページに 続 く 14
3. 最 近 の 事 件 の 解 説 Androidアプリの 脆 弱 性 無 線 LAN 環 境 でデジタルトークンを 不 正 取 得 するデモ + 対 策 ユーザ 側 で 対 応 する Androidのバージョンアップ しかし 一 般 的 にはスマートフォンを 自 由 に バージョンアップできない ウィルス 対 策 ソフトでは この 脆 弱 性 は 回 避 できない 無 線 LANを 使 わない アプリの 同 期 設 定 を 解 除 するか そもそも 対 象 アプリを 使 わない サイト 側 (Google)の 対 応 を 待 つ https 化 や 有 効 期 限 の 短 縮 化 を 待 たざるを 得 ない(Picasaの 改 修 まで2ヶ 月 を 要 した) + Googleでさえ でさえhttps 化 の 対 策 が 遅 れ ていた 状 況 一 般 的 なアプリでは 同 様 の 問 題 が 多 数 存 在 しているはず Googleアプリの 対 応 状 況 15
3. 最 近 の 事 件 の 解 説 Androidアプリの 脆 弱 性 ( 番 外 編 ) FaceSniffは FacebookやTwitterなど のアカウント 情 報 に 対 して WiFi 環 境 で スパイ 行 為 をするツール + Android 版 Firesheepの 登 場 Firesheepとは? 同 じLANに 接 続 している( 無 線 LANなど) 他 人 のアカウントでなりすましを 可 能 にしてし まうツール 2010 年 10 月 にTwitter Facebook WindowsLive Amazon.com Evernoteな ど 世 界 的 に 知 られているサイトばかり20 以 上 が 脆 弱 性 を 指 摘 された ウェブサイト 側 でセッションID(cookieの 値 ) を 暗 号 化 していない 場 合 危 険 性 が 発 生 + FaceSniff (Android 版 Firesheep) による 容 易 な 盗 聴 FaceSniffをインストールすることで 無 線 LAN 環 境 で 容 易 に 盗 聴 が 可 能 に なる 16
3. 最 近 の 事 件 の 解 説 脆 弱 なパスワード よく 使 われる 暗 証 番 号 ( 数 字 だけのパスワード) + スマートフォンならではの 脆 弱 なパス ワード スマートフォンは 文 字 が 打 ちにくい ( 特 に 男 性 ) パスワードは どうしても 安 易 なもの になりやすい 端 末 IDによる 簡 単 ログイン はでき ない しかし 数 字 だけのパスワードは10 回 程 度 のトライで 破 られてしまう 銀 行 の 暗 証 番 号 (4 桁 )は なぜいまだに 使 われ 続 けているのか? 銀 行 での 引 き 落 としの 場 合 カード + 暗 証 番 号 が 必 要 です カードを 持 っていること 自 体 で 本 人 確 認 をしているこ とになります 一 方 スマートフォンの 場 合 カードにあたるものがユーザIDになります ユーザIDには E-mailアドレスやハンドル 名 を 使 う 場 合 が 多 いので 容 易 にパスワードアタックが 可 能 です 17
4.すぐできる 対 策 中 長 期 的 に 検 討 すべき 対 策 + コンテンツプロバイダ(Webサイト 運 営 者 アプリ 提 供 者 等 ) が 検 討 すべき 対 策 すぐできる 対 策 + SSLサーバ 証 明 書 の 導 入 + 自 社 ユーザの ユーザの 個 人 情 報 やパスワー やパスワー ド 漏 洩 を 防 ぐ + サーバのマルウェアスキャン + 自 社 サイトがマルウェアの サイトがマルウェアの 配 布 元 に なることを なることを 防 ぐ + パスワードポリシーの 強 化 + 自 社 サイトへのなりすましログインを 防 ぐ 中 長 期 的 な 対 策 + サーバの 脆 弱 性 診 断 + 事 前 に 自 社 サイトの 危 険 性 を 評 価 + WAFの 導 入 + SQLインジェクション 対 策 など + ワンタイムパスワードの 導 入 + ログインの 強 化 + デジタル 署 名 付 きE-mail + メールの 送 信 元 を 証 明 18
4.すぐできる 対 策 中 長 期 的 に 検 討 すべき 対 策 + まずは SSL (https) を 利 用 しましょう! 徐 々に スマートフォン 向 けのSSL 化 は 進 んできている SSL 化 していないと 思 わぬ 信 用 ダウンになる 恐 れもある SSLは 枯 れている 技 術 のため 導 入 しやすい 19
4.すぐできる 対 策 中 長 期 的 に 検 討 すべき 対 策 + SSL 導 入 手 順 (ジオトラスト クイックSSLの 場 合 ) お 客 様 1 CSRをWebサーバで 生 成 2オンライン 申 請 4 発 行 承 認 6 サーバ 証 明 書 インストール 7 中 間 証 明 書 インストール 8 秘 密 鍵 と 証 明 書 バックアップ 9テスト 検 証 最 短 2 分 で 発 行 完 了! 3 Whois 登 録 者 宛 にメール 送 信 5 証 明 書 の 発 行 20
5. SSLの 陥 りやすい 課 題 + SSL 導 入 後 に 発 生 するエラー せっかくのセキュリティ 対 策 のために 導 入 したSSLも 正 しく 選 択 し 正 しくインストールしないと エラーを 起 こすことがあります エラーメッセージが 表 示 されると 多 くのユーザがそのサイトから 別 の サイトに 直 帰 してしまいます 21
5. SSLの 陥 りやすい 課 題 + SSLエラーメッセージの 原 因 ルート 証 明 書 がスマートフォンにプレインストールされていない 中 間 証 明 書 の 入 れ 忘 れ FQDN 名 とコモンネームの 不 一 致 有 効 期 限 終 了 後 の 放 置 ルート 証 明 書 がプレイン ストールされていない FQDN 名 とコモンネーム の 不 一 致 ルート 証 明 書 クライアントのブラウザ 確 認 OK! https:// ://www... 1 暗 号 化 仕 様 交 渉 2サーバ 証 明 書 送 付 Webサーバ SSLサーバ 証 明 書 共 通 鍵 40bit bit~256bit 3 共 通 鍵 生 成 共 通 鍵 40bit bit~256bit 中 間 証 明 書 の 入 れ 忘 れ 有 効 期 限 終 了 後 の 放 置 4 暗 号 化 データ 通 信 開 始 22
5. SSLの 陥 りやすい 課 題 + ( 参 考 ) Androidのルート 証 明 書 を 確 認 する 方 法 ルート 証 明 書 を 追 加 インストールする 方 法 素 人 には 推 奨 できない 複 雑 な 操 作 が 必 要 23
6. ジオトラスト のSSLサーバ 証 明 書 がオススメです! iphone Android 等 スマホ100% 対 応! 国 内 純 増 No.1 No.1 世 界 でも でも 発 行 数 No.1 No.1 Netcraft 調 べ( 価 格 帯 市 場 調 査 ) トップブランド 帯 で 最 も 低 価 格 無 制 限 ライセンス 24
6. 他 社 製 品 との 比 較 高 価 格 帯 ( 企 業 認 証 ) GeoTrust トゥルービジネスID GlobalSign 企 業 認 証 SSL CyberTrust Sure Server SECOM WebSR2.0(Secomルート) 認 証 方 法 TDB, 登 記 簿 TDB, DUNS, 登 記 簿 TDB, 登 記 簿 TDB, 登 記 簿 有 効 期 間 期 間 価 格 ( 税 抜 ) 1 年 ~5 年 1 年 : 55,000 半 年 ~5 年 1 年 : 59,800 半 年 ~3 年 1 年 : 75,000 1 年 ~2 年 1 年 : 55,000 ライセンス ライセンスフリー ライセンスフリー サーバ 台 数 分 ライセンスフリー 携 帯 電 話 ルート 搭 載 率 *1 95.3% 53.1% 99.9% 60.1% 低 価 格 帯 (ドメイン 認 証 ) 認 証 方 法 有 効 期 間 期 間 価 格 ( 税 抜 ) ライセンス GeoTrust クイックSSLプレミアム TDB, 登 記 簿 1 年 ~5 年 1 年 : 34,800 ライセンスフリー GlobalSign ドメイン 認 証 SSL TDB, DUNS, 登 記 簿 半 年 ~5 年 1 年 : 34,800 ライセンスフリー 25 *1 : 公 表 値 ( 公 表 していない 会 社 は ルート 証 明 書 搭 載 率 ) 当 資 料 は2011 年 6 月 時 点 における 情 報 を 基 準 として 作 成 したものであり 今 後 の 予 定 は 変 更 される 場 合 があります 当 資 料 日 本 ジオトラストおよび 日 本 ベリサイングループによるいかなるコミットメントを 含 む 内 容 ではございません
https 化 するとSEOで 不 利? 1httpのみ 運 用 2http/https 両 方 運 用 3 両 方 運 用 (301 転 送 ) 被 リンク 大 被 リンク 中 被 リンク 無 http 被 リンク 効 果 が 分 散 される 被 リンク http 中 被 リンク 301 転 送 http 大.htaccessファ イルなどを 利 用 し301 転 送 https https httpのページ 表 示 順 位 高 どちらかのページ 表 示 順 位 低 httpsのページ 表 示 順 位 高 ページごとにhttp httpsどちら かSEO 効 果 が 高 い 方 のURL が 検 索 結 果 に 現 れる 301 転 送 しておくとSEO 効 果 を 引 き 継 ぐ 26
https 化 すると 遅 くなる? + Adam Langley 氏 (Google) GmailのSSLデフォルト 化 による 影 響 は CPU 負 荷 の1% 以 下 セッションあたり 10KB 以 下 のメモリ ネットワーク 負 荷 の 2% 以 下 だった "In order to do this we had to deploy no additional machines and no special hardware. On our production frontend machines, SSL/TLS accounts for less than 1% of the CPU load, less than 10KB of memory per connection and less than 2% of network overhead. Many people believe that SSL takes a lot of CPU time and we hope the above numbers (public for the first time) will help to dispel that." http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html + Andreas Grabner 氏 (dynatrace Software) "It turned out that 70% of the time was spent in SSL handshaking. With a simple change on the web server the 14 seconds could be trimmed down to 2." http://blog.dynatrace.com/2009/10/28/101-on-https-web-site-performanceimpact/ ウェブサーバの 簡 単 な 変 更 (keepalive 設 定 を 緩 和 )でレスポンスタイムを14 秒 から2 秒 に 短 縮 27
2,048bit 化 でSSLが 遅 くなる? + 暗 号 の2010 年 問 題 以 降 RSA 公 開 鍵 長 は1024bitから2048bitへの 移 行 が 推 奨 されてい る この 変 更 は 公 開 鍵 長 の 長 さの 変 更 にあたる + 公 開 鍵 長 は SSLセッションの 初 期 段 階 に 利 用 されるもので その 後 の 暗 号 化 データ 交 換 に 関 しては 共 通 鍵 が 利 用 される + つまり SSLセッションの 初 期 段 階 の 負 荷 分 が 増 加 し その 後 の 暗 号 化 通 信 自 体 は 遅 くなる ことはない ( 短 時 間 に 集 中 してSSLセッションが 張 られるようなTV 連 動 などのウェブサイトの 場 合 SSLセッション 確 立 までの 時 間 がかかる 場 合 があるので 注 意 ) https:// ://www... クライアントのブラウザ Webサーバ 1 暗 号 化 仕 様 交 渉 RSA 公 開 鍵 を 用 いた SSLセッション 確 立 ルート 証 明 書 確 認 OK! 2サーバ 証 明 書 送 付 SSLサーバ 証 明 書 共 通 鍵 40bit bit~256bit 3 共 通 鍵 生 成 共 通 鍵 40bit bit~256bit 4 暗 号 化 データ 通 信 開 始 暗 号 通 信 ( 影 響 なし) 28
SSLの 検 証 はどこまでやればいいの? + 端 末 メーカー OSバージョン キャリアによって 微 妙 に 振 る 舞 いが 異 なる + 端 末 利 用 者 数 の 上 位 機 種 を 中 心 に 検 証 すべき しかし 常 に 最 新 機 種 を 揃 えるのは 限 界 がある + スマホ/ 携 帯 の 検 証 は 外 部 業 者 に 委 託 する 選 択 肢 もある 29
http 混 在 の 警 告 がでてしまう? サーバへのリクエスト 例 GET /logo.gif HTTP/1.1 Accept: */* Referer: http://www.example.com Accept-Language: ja User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0;.NET CLR 2.0.50727;.NET CLR 3.0.4506.2152;.NET CLR 3.5.30729) Accept-Encoding: gzip, deflate Host: www.example.com Connection: Keep-Alive Cookie: sessionid=0233683208c683a3053473e67be2ae63 + httpsでアクセスしたhtmlソース 内 にhttpでリンクされたファイル( 画 像 css jsなど)があるとブラウザは 警 告 メッセージを 表 示 させてしまう 対 処 方 法 :../ などの 相 対 パスや / //www.example.com/ から 始 まる 絶 対 パスで 画 像 などを 表 示 させる + 訪 問 者 が 不 安 になるだけではなく Cookieの 値 が 暗 号 化 されない 原 因 にもなるので 注 意 が 必 要 + CookieにSecure 属 性 を 付 与 するとcookieがhttpでは 送 信 されなくなるが アプリケーションサイトのセッ ション 管 理 が 難 しくなるので 全 部 SSLにすることを 推 奨 30
スマートフォンでEV SSLはグリーンになるの? + EV SSLとは? 厳 格 な 認 証 を 経 たウェブサイトに 対 して 発 行 されるSSLのこと これを 利 用 すると 緑 色 のアドレスバーに 変 わる 銀 行 TOP100 行 が 採 用 + EV SSLでグリーンバーになるブラウザが 存 在 します 南 京 錠 アイコンと Webサイトの 運 営 者 名 ( 緑 色 )を 表 示 Webサイトの 認 証 情 報 を 表 示 (サイト の 運 営 者 名 を 表 示 ) 施 錠 されたアイコ ンと 暗 号 化 あり の 表 示 Safari (ios) Firefox4 (Android) 31
日 本 ベリサイングループ 製 品 一 覧 1 セキュアメールID 2 CLOMO 3 SSLサーバ 証 明 書 4 VIP auth / MPKI メール 署 名 SSL 証 明 書 ワンタイムパスワード クライント 証 明 書 MDM/GATE ウェブサイトのマル ウェアスキャン ウェブサーバ 稼 動 監 視 PC スマートフォン タブレット ログイン ログイン メニュー お 知 らせ ユーザID パスワード 2 要 素 認 証 ご 利 用 開 始 個 人 情 報. 利 用 者 OK OK VIP Fraud Detection Service クラウド 型 ウェブアクセラ レーション for SSL SaaS 型 WAF ルール 行 動 分 析 リスク 判 定 SSL 接 続 検 証 5 CDN 6 Scutum 7 FDS 8 ケイタイ 検 証 32
ありがとうございました ( 終 ) https://www.geotrust.co.jp 33